Você deve revisar seus logs do Visualizador de Eventos para os IDs do evento: 5007; 1123; 1124. Especificamente 1123 (Eventos Auditados) e 1124 (Eventos Bloqueados).
Se você precisar ajustar o recurso, deverá colocá-lo no modo de auditoria e monitorar os eventos para determinar quais programas precisam estar na lista de permissões .
Dentro de uma janela administrativa do PowerShell, o seguinte comando coloca-o no modo de auditoria:
Set-MpPreference -EnableControlledFolderAccess AuditMode
O comando a seguir ativará totalmente o acesso a pastas controladas quando estiver bem ajustado:
Set-MpPreference -EnableControlledFolderAccess Enabled
link